Quanto è buono EMET nella protezione di Windows e dovrei abilitarlo per ogni applicazione?

4

Ho appena trovato il Enhanced Mitigation Experience Toolkit . La scienza che c'è dietro è al di là di me, ma quanta protezione ha su un antivirus?

Devo abilitare la sua protezione per ogni processo o selezionare i vettori di attacco più usati e salvaguardare solo quelli? Sono preoccupato per l'impatto negativo sulle prestazioni.

    
posta Marek Andreansky 31.12.2016 - 12:55
fonte

1 risposta

2

EMET implementa varie funzionalità di protezione che mancano dalle edizioni di Windows precedenti a Win10. Aggiunge inoltre alcune funzionalità di protezione che catturano lo shellcode di copia e incolla comune. EMET viene deprecato perché Microsoft ha eseguito il rollover della maggior parte delle funzionalità in Windows 10 in modo nativo, sebbene non tutte siano presenti.

I hanno scritto una risposta qualche tempo fa che descrive alcune delle funzioni EMET standard.

L'impatto sulle prestazioni è trascurabile, anche su applicazioni più complesse come Firefox, Chrome, Office e Visual Studio. L'unico problema che ho riscontrato è il falso rilevamento delle funzioni "Caller" o "Caller +" quando si aprono finestre di dialogo standard (ad esempio carico / salvataggio) da alcune applicazioni. Per questi casi, disattivo quelle funzioni.

Ho attivato EMET contro praticamente tutto sul mio sistema che probabilmente aprirà molti contenuti non attendibili. I browser e i lettori di documenti sono l'ovvia scelta primaria, i lettori video e audio (ad es. VLC, MPC-HC), nonché le app di comunicazione (IRC, Telegram), oltre a Windows Explorer, cmd.exe, PuTTY, suite di editing di immagini e un mucchio di altre applicazioni casuali. Tutti funzionano bene, anche se alcuni hanno bisogno di un piccolo aggiustamento della politica.

Ricorda che EMET non ti protegge dai malware. Implementa funzionalità che rendono più difficile per qualcuno ottenere con successo un exploit di esecuzione del codice contro una vulnerabilità nel software in esecuzione sul tuo sistema (escluso il kernel!). Queste funzionalità aiutano anche a impedire l'esecuzione corretta dello shellcode generico, quindi un utente malintenzionato dovrebbe probabilmente personalizzare un payload di exploit in modo specifico per un sistema protetto da EMET.

    
risposta data 31.12.2016 - 14:31
fonte

Leggi altre domande sui tag